Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
12.01.2017

Cyber-Abwehr angemessen formieren – aber wie?

Das Machbare zählt:

Im Cyberspace Sicherheit herzustellen, ist für die Unternehmen schwieriger denn je. Je mehr die Unternehmen ihre Geschäftsprozesse gegenüber dem Internet öffnen, umso empfänglicher werden sie für Attacken. Von den immer ausgefeilteren Angriffen sind nicht nur die Geschäftsprozesse und die darüber transportierten Daten betroffen, sondern die Attacken reichen bis tief in den Back-end der Unternehmen hinein. Sie zielen auch auf die dort angesiedelten Daten, Anwendungen und Systeme ab; von von Hadi Stiel *)

Carsten Triebel

Zur Vergrößerung anklicken

Carsten Triebel

Was Unternehmen angesichts der wachsenden Bedrohungen von außen brauchen, sind angemessene Abwehrtechniken sowie Mitarbeiter, die aktiv an IT Security mitwirken. IT Business hat Carsten Triebel, Senior Consultant bei BridgingIT befragt, wie Unternehmen vorgehen sollten, um ihre Daten, Anwendungen, Systeme sowie die Geschäftsprozesse, die darüber unterstützt werden, hinreichend zu schützen.

Mit der Hinwendung zum digitalen Geschäft öffnen Unternehmen ihre IT-Ressourcen. Sie werden dadurch angreifbarer. Ist angesichts dieser Öffnung eine hinreichende IT-Sicherheit überhaupt darstellbar?

Carsten Triebel: Ja, aber nur unter der Voraussetzung, dass sich das Unternehmen der tatsächlichen Gefahren und Risiken für die IT und die darüber unterstützten Geschäftsprozesse bewusst ist. Im Grunde eröffnet jeder neue Zugriff auf Software oder Infrastruktur zusätzliche Angriffsflächen für Cyber-Attacken. Die einzelnen Risiken sollten demzufolge analysiert und bewertet werden, um so angemessene Gegenmaßnahmen ergreifen zu können. Dazu muss sich das Unternehmen über die Akzeptanz einzelner Risiken im Klaren sein, um gravierende von weniger gravierenden Risiken unterscheiden zu können. Das ist wichtig, um sie nach Priorität beobachten und bearbeiten zu können.

Sie sprechen damit auch die begrenzten IT-Budgets der Unternehmen an?

Triebel: Ja, was unter dem Strich zählt, ist ein pragmatischer Sicherheitsansatz, der sich vorrangig auf die Gefahren und Risiken mit hohem Schadpotenzial zuerst konzentriert, bevor anderen Risiken entgegengesteuert wird. Nur diese Strategie ist für Unternehmen auf lange Sicht handhabbar und leistbar und somit sinnvoll. Diese Strategie sollte sowohl für den Eigenbetrieb der Sicherheitstechniken als auch für die Inanspruchnahme externer Sicherheits-Services gelten.

Im Fall von Cyber Security sind die Bedrohung deutlich unklarer und schwieriger zu erkennen. Erschwert das nicht die Analyse und Bewertung dieser Risiken, um geeignete Gegenmaßnahmen ableiten zu können?

Triebel: Das ist leider so. Dennoch sollten Unternehmen gerade diese Bedrohungen soweit wie möglich ausloten, um Gefährliches von weniger Gefährlichem unterscheiden zu können. Das werden sie oft nur mit kompetenter externer Unterstützung leisten können. Denn hochmoderne Cyber-Angriffsmethoden, die durch hohen Forschungseinsatz und Aufwand entwickelt und vorbereitet wurden, sind nur schwer zu enttarnen und zu verhindern. Immerhin stehen mittlerweile eine Fülle an Tools, Schwachstellen und Exploits zur Verfügung, die zur Aufspürung solcher Angriffe und potenzieller Angriffsziele herangezogen werden können.

… und die Abwehr solcher Attacken?

Triebel: Mit klassischer Perimeter-Security ist hochmodernen Cyber-Angriffe jedenfalls nicht beizukommen. Dazu ist die Anwendung von Cyber Security-Techniken erforderlich. Diese Abwehrtechniken haben zugegebenermaßen ihren Preis, wobei in einem expandierenden Markt mit vielen Versprechungen nicht alle Offerten sinnvoll sind (siehe Kasten: Offerten des Marktes an Cyber Security-Techniken). Zudem scheinen im Fall von Cyber Security die Angreifer den Verteidigern immer einen Schritt voraus zu sein. Ein Restbedrohungspotenzial, das nicht erkannt und demzufolge auch nicht bekämpft werden kann, wird somit immer bleiben, unabhängig davon, in welchem Umfang in Cyber Security investiert wird.

Wenn künftig ein Großteil der gefährlichen Cyber-Attacken aufgedeckt und geblockt wird, ist das für das Unternehmen ein Erfolg und ein erheblicher Risikoausschluss. Denn darin enthalten sind auch Cyber-Risiken, die in Zeiten der Industriespionage, ob in Form offensichtlicher Schäden oder unentdeckt, das Geschäft in Mitleidenschaft ziehen, dem Unternehmen sogar die Existenz im Markt kosten können.

Der Stand der Security-Vorkehrungen, ob Perimeter Security oder Cyber Security, dürfte in den Unternehmen abhängig von ihrer Branche und ihrer Investitionsbereitschaft sehr unterschiedlich ausfallen. Von diesem Stand, wiederum, sind die weiteren Vorkehrungen und Maßnahmen abhängig, die das Unternehmen im eigenen Interesse treffen sollte. Wie kann das Unternehmen den Status quo ermitteln, um darauf gezielt aufbauen zu können?

Triebel: Mit Fokus auf die IT-Infrastruktur ist es für das Unternehmen buchstäblich von elementarer Wichtigkeit zu wissen, wo es in Bezug auf Perimeter Security, aber vor allem Cyber Security steht (Assessment) und was realistisch an zusätzlicher Sicherheit machbar und erreichbar ist (Ziel). Speziell für das Assessment und die Setzung realistischer Ziele für Cyber Security helfen Richtlinien und Frameworks weiter. Zu nennen sind hier vor allem:

Kennt das Unternehmen die größten Cyber-Bedrohungen und die daraus resultierenden Risiken, bieten diese Richtlinien und Frameworks wesentliche Hilfestellungen für das Assessment und die Erreichung der gesetzten Ziele.

Andererseits haben diese Richtlinien und Frameworks aufgrund ihrer Komplexität eine gewisse abschreckende Wirkung, oder etwa nicht?

Triebel: Das ist nicht wegzudiskutieren. Nach einer längeren Einarbeitungszeit oder besser  gleich unter der Führung eines kompetenten und erfahrenen Experten sind sie dennoch eine probate Bewertungsgrundlage und ein notwendiger erster Schritt. Anschließend werden mit den Bewertungsergebnissen sowohl der aktuelle Cyber Security-Status als auch die nächsten Schritte zur Zielerreichung deutlicher. Anfangs empfehlen sich für die Umsetzung notwendiger Techniken und Maßnahmen solche mit Quick Wins. Das sind Techniken und Maßnahmen, die im Unternehmen schnell implementiert werden können, beispielsweise Penetration Tests. Danach sollten die Bedrohungen und Risiken angegangen werden, die eine größere Herausforderung darstellen, also deren Beseitigung oder Minimierung für das Unternehmen mit größeren Investitionen und Aufwendungen verbunden sind.

Inwieweit sollte das Personal des Unternehmens auf die Erkennung und Abwehr von Cyber-Bedrohungen eingestimmt werden?

Triebel: Sie sprechen damit einen wesentlichen Aspekt für mehr Cyber Security an. Dazu ist ein Awareness-Programm notwendig, das sich aus Schulungen und internem Marketing zusammensetzt. Als Werkzeuge zur Sensibilisierung der Mitarbeiter können e-Learning, Awareness-Kampagnen und Marketing-Artikel wie Flyer dienen. Noch meist in den Unternehmen erheblich unterschätzt, sind Awareness-Programme unverzichtbar, um intern das notwendige Sicherheitsbewusstsein aufzubauen und nachzuhalten. In Kombination mit einer angemessenen technischen Cyber-Abwehr wird sich dieses Zusatz-Investment in der Regel schnell für das Unternehmen auszahlen.

*) Autor  Hadi Stiel ist freier Journalist und Kommunikationsberater in Bad Camberg
 +